Everything visible. 
Everything secure. 


DevSecOps 
IT と APP イ ン フ ラ へ の 継続 的 な セキ ュ リ ティ の 導入 方 法 


[e) Qualys. 


DevOps と CI/CD 
DevOps と SecOps の 連携 
継続 的 な セキ ュ リ ティ (DevSecOps) 
シフ トレ フト の アプ ローチ 
DevSecOps の ビジ ネス ケー ス 
DevSecOps を 実践 する 方 法 


Qualys の DevSecOps ソ リュ ーション 
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ウォ オー ター フォ ー ル と アジ ャ イル の 違い 
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DevOps の メリ ッ ト は 大 きい が 、 運 用 は 複雑 
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DevOps と 従来 の セキ ュ リ ティ 


| Development Operations 
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「 後 付 」 の アブ ロー チ は 失敗 に つなが る 
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「 後 付け 」 
で は な く 

「 作 り 込 み 」 

1. 統合 され て いる の で 、 
フロ ー を 妨げ な い 

2. セキ ュ リ ティ の 
専門 知識 が な く て も 
使え る 


3. 新た な 課題 に 対応 が 
で きる 


А 
A 
Source: http://wwiw.foodengineeringmag. com/articles/88990-tech-update-metal-detection-xray-inspection- 
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ン フ トレ フト : 
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DevOps と SecOps が 連携 する 分 野 
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シフ トレ フト の アブ ロー チ 


シフ トレ フト の アプ ロー チ 


DevOps サ イク ル 早 期 に セキ ュ リ ティ を 後付け 
セキ ュ リ ティ に 取り 組む し な いで 、 統 合 する 


従来 の 工程 を 前 倒し に する 事 よ り も 、 
より 効果 的 な 事 を 早め に 実施 する の が 目的 で す 。 
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時 間 を シフ ト 


開発 中 の アプ リ の 
脆弱 性 を 確認 する 


適用 する 
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テス ト 駆 動 開発 、 
回 帰 テ スト の 自動 化 
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リリ ー ス 後に 発見 され 
る 脆弱 性 が 減ら せる 
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アブ プリ 層 の 脆弱 性 が 早 
め に 対応 で きる 
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時 間 を シフ ト 
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テク ニク を シフ ト 


ノ ソー スコ ント ロー ル : 脆弱 性 を アプ リケーション 
脆弱 性 の ある ライ ブレ の バグ の 様 に 扱う 
リー を タグ で 示す 


適用 する 適用 する 
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未 対応 の 脆弱 性 に つい て 、 
アプ リケーション の 責任 
者 に 知ら せる 


適用 する 
リス ク を 可視 化し て 、 
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本 番 で 使用 し て いる App 開発 チー ム が 使う ]IRA 本 番 と 開発 環境 で 回 帰 
Security Assessment ツ ー シス テム に バグ を 自動 テス ト を 継続 的 に 実施 
ル を 開発 で も 使え る よう 生成 する する 

に 、CI /CD 連 携 する 
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シフ トレ フト に よる コス ト 削 減 
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DevSecOps : : セキ ュ リ ティ の ビジ ネス ケー ス 


セキ ュ J ティ の 問題 


ソフ トウ ェ ア バ タダ の コス ト 
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プロ ジェ クト の 計画 、  : プロ ジェ クト の QA テス ト  : 本 番 環境 で バグ が 発見 
又は 要件 定義 の : フェ ー ズ で バグ が 発見 され た 場合 

フェ ー ズ で バグ が : され た 場合 : 

発見 され た 場合 ; 
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DevSecOps を 実践 する 


ZEIT 

・ 開発 チー ム が 使用 し て い ・ 開発 ライ フサ イク ル の 中 ・ DevSecOps の セル フサ ービス 、 
る セキ ュ リ ティ ツー ル が に セキ ュ リ ティ ー ゴ プロ ヤ 又は API を 提供 する 
DevOps の 自動 化 に 適し ス を 作り 込む 。 


Е ・ セキ ュ リ ティ ツー ル を 統一 する 
mó en a “ IT、 セ キュ リティ ー の マニ ュ QR (開発 ・ 本 番 、 ク ラウ ド ・ オ ンプ レ ) 
gH * DevOps を 実施 し て いる Ж アル プロ セス を 自動 化す る 。 [ « 他 の アプ リケーション に 

チー ム と DevSecOps に つ DevSecOps を 展開 し て 、 組織 の 


いて ディ スカ ッ シ ョ ン す る ・ DevSecOps の 実績 を 測る 、 ンダ ー ド [| こ 
例え ば 、 リ リー ス 前 に 対応 さ в 
・ 開発 環境 を 確認 する 、 ク れ た 脆弱 性 の 数 。 ・ ご 経験 を 社外 に も 共有 する 
ラウ ド 、 オン プレ 。 パイ (ユエ ユーザ グ ルー ブ プ 、 ペ ンダ ー) 
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Qualys Solutions 


Qualys の DevSecOps ソ ルー ショ ン 
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DevSecOps の ユー スケ ー ス : 
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